0x01背景:kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞,身经百战的他经过一番爱恨纠缠,终将她顺利拿下~0x02纠缠一番只为她-Blind OOB XXE: &n...
安全文章
安全文章
安全文章
Apache Flink漏洞(CVE-2020-17518&CVE-2020-17519)复现
本月,Apache Flink项目公开了该框架中的两个严重的路径遍历漏洞,攻击者可以通过该漏洞在易受攻击的系统上上传和查看任意文件。Apache Flink是一个用Java和Scala编写的开源统一流...
安全漏洞
Apache Hadoop潜在权限提升漏洞(CVE-2020-9492)
0x00 漏洞概述CVE IDCVE-2020-9492时 间2021-01-27类 型权限提升等 级高...
移动安全
InjuredAndroid 1-5
一、简述该项目来自 Kyle B3nac ,是一名全职安全研究员、CTF出题人、漏洞赏金猎人。该项目是一个Android application靶场,基于漏洞挖掘、漏洞利用,以CT...
![[代码审计] LvyeCms CSRF漏洞分析](http://cn-sec.com/wp-content/uploads/2020/12/6-1607232941-280x210.jpeg)
代码审计
[代码审计] LvyeCms CSRF漏洞分析
一、Cms初识:LvyeCMS 基于ThinkPHP框架开发,采用独立分组的方式开发的内容管理系统。支持模块安装/卸载,模型自定义,整合UCenter通行证等。同时系统对扩展方面也支持比较大,可以使用...
安全文章
利用FreakOut僵尸网络利用已知漏洞
CheckPoint的研究人员发现了一个名为FreakOut的新僵尸网络,该僵尸网络不仅利用三个已知的软件漏洞来感染Linux系统。随着TrickBot设法制造出足够多的问题,以至于大型技术和执法部门...
安全新闻
不讲武德 | 朝鲜黑客打着安全研究的旗号社工安全研究人员
《伊索寓言》中,有一个“披着羊皮的狼”的故事。一只狼为了随心所欲地吃羊,披上了羊皮混进了羊圈。不过假的终究是假的,牧羊人最终还是发现了这只恶狼……时至今日,这样的故事还在上演。本周一,谷歌威胁分析小组...
安全工具
插件更新 | 你想要的AWVS来了!还有更多!
牛年到了,灵魂一问,最近新洞爆发了不少,Beta 1.8.237已更新了37条实战漏洞,我想各位表哥表姐漏洞应该挖的不少吧?本月新增了可联动AWVS进行Web漏洞扫描、备份文件扫描、漏洞利用及配置更新...
安全文章
Weblogic T3/IIOP反序列化漏洞(XXE漏洞)分析
[email protected]卫兵实验室漏洞复现证明截图影响范围Oracle Weblogic Server 12.1.3.0, 12.2.1.3, 12.2.1.4漏洞分析com.tangosol.util.Exte...
安全文章
MetInfo 6.0.0 任意文件读取/代码执行漏洞分析
0x01 漏洞简介 MetInfo是一套使用PHP和Mysql开发的内容管理系统。但是在MetInfo 6.0.0版...
安全文章
业务漏洞挖掘笔记
业务漏洞挖掘笔记多年的实战业务漏洞挖掘经验,为了让今后的业务漏洞挖掘工作更清晰,以及尽可能的把重复性的工作自动化、半自动化,所以花费很大精力做了这个笔记。具体操作流程:得到测试目标-目标资产范围确定-...
安全新闻
通过社交媒体针对安全研究人员的社会工程学攻击活动
2020年下半年至2021年初,谷歌威胁分析小组发现并确定了一个持续针对网络和漏洞安全研究人员的攻击活动,这些研究人员在不同的公司和组织中从事漏洞研究和开发。谷歌认为这项攻击运动的发起者来自朝鲜网军。...
